Bevált gyakorlatok és bevált gyakorlatok a konténerek és a Kubernetes üzemeltetéséhez gyártási környezetben

A konténerezési technológiai ökoszisztéma gyorsan fejlődik és változik, ezért ezen a területen hiányoznak a jó gyakorlatok. A Kubernetes és a konténerek azonban egyre gyakrabban használatosak mind a régi alkalmazások modernizálására, mind a modern felhőalkalmazások fejlesztésére. 

Csapat Kubernetes aaS a Mail.ru webhelyről előrejelzéseket, tanácsokat és bevált gyakorlatokat gyűjtött össze a Gartner, a 451 Research, a StacxRoх és mások piacvezetői számára. Lehetővé teszik és felgyorsítják a konténerek üzembe helyezését az éles környezetben.

Honnan tudhatja, hogy cége készen áll-e konténerek üzembe helyezésére termelési környezetben

A Gartner szerint2022-ben a szervezetek több mint 75%-a konténeres alkalmazásokat fog használni a termelésben. Ez lényegesen több a jelenleginél, amikor a cégek kevesebb mint 30%-a használ ilyen alkalmazásokat. 

Szerint 451 ResearchA konténertechnológiai alkalmazások tervezett piaca 2022-ben 4,3 milliárd dollár lesz, ami több mint kétszerese a 2019-re tervezett összegnek, a piac 30%-os növekedési üteme mellett.

В Portworx és Aqua Security felmérés A válaszadók 87%-a azt mondta, hogy jelenleg konténertechnológiákat használ. Összehasonlításképpen: 2017-ben az ilyen válaszadók 55%-a volt. 

A konténerek iránti növekvő érdeklődés és elterjedtség ellenére a gyártásba való bejutásuk tanulási görbét igényel a technológiai éretlenség és a know-how hiánya miatt. A szervezeteknek reálisnak kell lenniük az alkalmazáskonténerezést igénylő üzleti folyamatokat illetően. Az informatikai vezetőknek fel kell mérniük, hogy rendelkeznek-e a szükséges készségekkel ahhoz, hogy gyorsan tanuljanak. 

Gartner szakértők Úgy gondoljuk, hogy az alábbi képen látható kérdések segítenek eldönteni, hogy készen áll-e a konténerek üzembe helyezésére az éles környezetben:

A leggyakoribb hibák a konténerek gyártás során történő használatakor

A szervezetek gyakran alábecsülik a konténerek termelésben történő üzemeltetéséhez szükséges erőfeszítéseket. Gartner fedezte fel Néhány gyakori hiba az ügyfelek forgatókönyveiben a konténerek termelési környezetben történő használatakor:

Hogyan tartsuk biztonságosan a konténereket

A biztonsággal nem lehet „később” foglalkozni. Be kell építeni a DevOps folyamatba, ezért van még egy speciális kifejezés is - DevSecOps. A szervezeteknek tervezniük kell védi a konténer környezetét a fejlesztés teljes életciklusa során, amely magában foglalja az alkalmazás összeállítási és fejlesztési folyamatát, telepítését és elindítását.

A Gartner ajánlásai: 

1. Integrálja az alkalmazásképek biztonsági rések keresésére irányuló folyamatát a folyamatos integrációs/folyamatos szállítási (CI/CD) folyamatba. Az alkalmazások ellenőrzése a szoftver felépítésének és indítási szakaszában történik. Hangsúlyozza a nyílt forráskódú összetevők, könyvtárak és keretrendszerek vizsgálatának és azonosításának szükségességét. A régi, sebezhető verziókat használó fejlesztők a konténerek sebezhetőségeinek egyik fő oka.
2. Javítsa konfigurációját a Center for Internet Security tesztjeivel (CIS), amelyek mind a Docker, mind a Kubernetes számára elérhetők.
3. Ügyeljen arra, hogy érvényesítse a hozzáférés-szabályozást, biztosítsa a feladatok szétválasztását, és hajtson végre egy titokkezelési szabályzatot. Az érzékeny információkat, például a Secure Sockets Layer (SSL) kulcsokat vagy az adatbázis hitelesítő adatait a szervező vagy a harmadik féltől származó felügyeleti szolgáltatások titkosítják, és futás közben teszik közzé.
4. Kerülje el a megemelt konténereket a biztonsági szabályzatok kezelésével, hogy csökkentse a potenciális incidens kockázatokat.
5. Használjon biztonsági eszközöket, amelyek engedélyezőlistázást, viselkedésfigyelést és anomáliák észlelését biztosítják a rosszindulatú tevékenységek megelőzésére.

A StacxRox ajánlásai:

1. Használja ki a Kubernetes beépített képességeit. Állítson be hozzáférést a szerepeket használó felhasználók számára. Ügyeljen arra, hogy ne adjon szükségtelen engedélyeket az egyes entitásoknak, még akkor sem, ha a minimálisan szükséges engedélyek átgondolása eltarthat egy ideig. Csábító lehet széles körű jogosultságokat adni a fürt rendszergazdájának, mivel ez kezdetben időt takarít meg. A fiókban azonban bármilyen kompromisszum vagy hiba a későbbiekben pusztító következményekkel járhat. 
2. Kerülje az ismétlődő hozzáférési engedélyeket. Néha hasznos lehet, ha a különböző szerepkörök átfedik egymást, de ez működési problémákhoz vezethet, és vakfoltokat is teremthet az engedélyek eltávolításakor. Fontos a nem használt és inaktív szerepkörök eltávolítása is.
3. Hálózati házirendek beállítása: a modulok elkülönítése a hozzáférés korlátozása érdekében; kifejezetten lehetővé teszi az internet-hozzáférést azoknak a moduloknak, amelyeknek szükségük van rá, címkék segítségével; Kifejezetten lehetővé teszi a kommunikációt azon modulok között, amelyeknek kommunikálniuk kell egymással. 

Hogyan lehet megszervezni a konténerek és a bennük lévő szolgáltatások figyelését

Biztonság és felügyelet - cégek fő problémái a Kubernetes-fürtök telepítésekor. A fejlesztők mindig jobban összpontosítanak az általuk fejlesztett alkalmazások jellemzőire, nem pedig a szempontokra ezeknek az alkalmazásoknak a figyelése. 

A Gartner ajánlásai:

1. Próbálja meg figyelni a tárolók vagy a bennük lévő szolgáltatások állapotát a gazdarendszerek megfigyelésével együtt.
2. Keressen olyan szállítókat és eszközöket, amelyek mélyen integrálódnak a konténerhangszerelésbe, különösen a Kubernetes.
3. Válasszon olyan eszközöket, amelyek részletes naplózást, automatikus szolgáltatáskeresést és valós idejű ajánlásokat biztosítanak az elemzés és/vagy a gépi tanulás segítségével.

A SolarWinds blog tanácsot ad:

1. Használjon eszközöket a konténer-metrikák automatikus felfedezéséhez és követéséhez, korrelálva a teljesítménymutatókat, például a CPU-t, a memóriát és az üzemidőt.
2. Biztosítsa az optimális kapacitástervezést a kapacitáskimerülési dátumok előrejelzésével a konténerfelügyeleti mérőszámok alapján.
3. Kövesse nyomon a konténeres alkalmazások elérhetőségét és teljesítményét, ami hasznos lehet a kapacitástervezés és a teljesítményproblémák hibaelhárítása szempontjából.
4. Automatizálja a munkafolyamatokat azáltal, hogy felügyeleti és méretezési támogatást nyújt a tárolókhoz és tárhelykörnyezetükhöz.
5. Automatizálja a hozzáférés-szabályozást a felhasználói bázis figyeléséhez, az elavult és vendégfiókok letiltásához, valamint a szükségtelen jogosultságok eltávolításához.
6. Győződjön meg arról, hogy eszközkészlete képes figyelni ezeket a tárolókat és alkalmazásokat több környezetben (felhőben, helyszíni vagy hibrid környezetben), hogy megjelenítse és összehasonlítsa a teljesítményt az infrastruktúra, a hálózat, a rendszerek és az alkalmazások között.

Hogyan tároljuk az adatokat és biztosítsuk azok biztonságát

Az állapotalapú dolgozói konténerek térnyerésével az ügyfeleknek figyelembe kell venniük az adatok gazdagépen kívüli jelenlétét és az adatok védelmének szükségességét. 

Szerint Portworx és Aqua Security felmérés, az adatbiztonság vezeti a biztonsági aggályok listáját, amelyet a válaszadók többsége (61%) említett. 

Az adattitkosítás a fő biztonsági stratégia (64%), de a válaszadók futásidejű megfigyelést is alkalmaznak

(49%), a regiszterek sérülékenységek keresése (49%), a CI/CD-folyamatok sebezhetőségeinek keresése (49%), valamint a rendellenességek blokkolása futásidejű védelem révén (48%).

A Gartner ajánlásai:

1. Válasszon elvekre épülő tárolási megoldásokat mikroszolgáltatási architektúra. Jobb azokra összpontosítani, amelyek megfelelnek a konténerszolgáltatások adattárolási követelményeinek, hardverfüggetlenek, API-vezéreltek, elosztott architektúrájúak, támogatják a helyi telepítést és a nyilvános felhőben történő telepítést.
2. Kerülje a szabadalmaztatott bővítményeket és interfészeket. Válasszon olyan szállítókat, amelyek Kubernetes-integrációt biztosítanak, és támogatják a szabványos interfészek, például a CSI-t (Container Storage Interfaces).

Hogyan kell dolgozni a hálózatokkal

A hagyományos vállalati hálózati modell, ahol az informatikai csapatok minden projekthez hálózati fejlesztési, tesztelési, minőségbiztosítási és termelési környezetet hoznak létre, nem mindig illeszkedik jól a folyamatos fejlesztési munkafolyamathoz. Ezenkívül a konténerhálózatok több réteget ölelnek fel.

В blog Magalix gyűjtött magas szintű szabályok, amelyeknek a fürthálózati megoldás megvalósításának meg kell felelnie:

1. Az ugyanazon a csomóponton ütemezett podoknak képesnek kell lenniük kommunikálni más podokkal a NAT (hálózati címfordítás) használata nélkül.
2. Egy adott csomóponton futó összes rendszerdémon (háttérfolyamatok, például kubelet) képes kommunikálni az ugyanazon a csomóponton futó podokkal.
3. Hüvelyek használata host hálózat, képesnek kell lennie az összes többi csomópont összes többi podjával kommunikálni NAT használata nélkül. Kérjük, vegye figyelembe, hogy a gazdagép-hálózat csak Linux-gazdagépeken támogatott.

A hálózati megoldásokat szorosan integrálni kell a Kubernetes primitíveivel és irányelveivel. Az informatikai vezetőknek törekedniük kell a hálózati automatizálás magas fokára, és megfelelő eszközöket és kellő rugalmasságot kell biztosítaniuk a fejlesztőknek.

A Gartner ajánlásai:

1. Nézze meg, hogy a CaaS (container as a service) vagy az SDN (Software Defined Network) támogatja-e a Kubernetes hálózatokat. Ha nem, vagy a támogatás nem elegendő, használja a CNI (Container Network Interface) hálózati interfészt a tárolókhoz, amely támogatja a szükséges funkciókat és házirendeket.
2. Győződjön meg arról, hogy a CaaS vagy a PaaS (platform as a service) támogatja a bejövő vezérlők és/vagy terheléselosztók létrehozását, amelyek elosztják a bejövő forgalmat a fürt csomópontjai között. Ha ez nem lehetséges, fedezze fel harmadik féltől származó proxykat vagy szolgáltatáshálókat.
3. Képezze hálózati mérnökeit Linux hálózatokra és hálózatautomatizálási eszközökre, hogy csökkentse a készségek hiányát és növelje az agilitást.

Az alkalmazás életciklusának kezelése

Az alkalmazások automatizált és zökkenőmentes kézbesítéséhez ki kell egészítenie a konténerek összehangolását más automatizálási eszközökkel, például az infrastruktúra kódként (IaC) termékekkel. Ide tartozik a Chef, a Puppet, az Ansible és a Terraform. 

Automatizálási eszközökre is szükség van az alkalmazások felépítéséhez és bevezetéséhez (lásdMagic Quadrant az alkalmazás kiadásának hangszereléséhez"). A tárolók a virtuális gépek (VM-ek) üzembe helyezésekor elérhetőekhez hasonló bővíthetőségi lehetőségeket is biztosítanak. Ezért az informatikai vezetőknek rendelkezniük kell konténer életciklus menedzsment eszközök.

A Gartner ajánlásai:

1. Szabványokat állíthat be az alaptároló-képekre a méret, a licencek és a fejlesztők számára az összetevők hozzáadásának rugalmassága alapján.
2. Konfigurációkezelő rendszerekkel kezelheti azon tárolók életciklusát, amelyek a nyilvános vagy privát lerakatokban található alapképek alapján rétegezik a konfigurációt.
3. Integrálja CaaS platformját automatizálási eszközökkel az alkalmazás teljes munkafolyamatának automatizálásához.

A konténerek kezelése hangszerelőkkel

A konténerek üzembe helyezéséhez szükséges alapvető funkciókat a hangszerelési és tervezési réteg biztosítja. Az ütemezés során a konténerek a fürt legoptimálisabb gazdagépein kerülnek elhelyezésre, a hangszerelési réteg követelményeinek megfelelően. 

A Kubernetes a de facto konténerhangszerelési szabvány lett, aktív közösséggel, és a legtöbb vezető kereskedelmi szállító támogatja. 

A Gartner ajánlásai:

1. Határozza meg az alapvető követelményeket a biztonsági ellenőrzésekhez, a felügyelethez, a házirend-kezeléshez, az adatmegmaradáshoz, a hálózathoz és a tárolók életciklus-kezeléséhez.
2. Ezen követelmények alapján válassza ki az Ön igényeinek és felhasználási eseteinek leginkább megfelelő eszközt.
3. Használja a Gartner kutatást (lásd "Hogyan válasszunk Kubernetes telepítési modellt"), hogy megértse a különböző Kubernetes telepítési modellek előnyeit és hátrányait, és válassza ki az alkalmazásához legjobban illőt.
4. Válasszon olyan szolgáltatót, amely több környezetben is képes hibrid hangszerelést biztosítani a munkakonténerekhez szoros háttérintegrációval, közös felügyeleti tervekkel és konzisztens ármodellekkel.

Hogyan lehet használni a felhőszolgáltatók lehetőségeit

Gartner úgy vélihogy a konténerek nyilvános felhő IaaS-en történő telepítése iránti érdeklődés nő a kész CaaS-ajánlatok elérhetősége, valamint ezen ajánlatok szoros integrációja a felhőszolgáltatók által kínált egyéb termékekkel.

Az IaaS felhők igény szerinti erőforrás-felhasználást, gyors méretezhetőséget és szolgáltatás kezelés, ami segít elkerülni az infrastruktúra és annak karbantartásának alapos ismeretét. A legtöbb felhőszolgáltató konténerkezelési szolgáltatást kínál, néhány pedig több hangszerelési lehetőséget is kínál. 

A legfontosabb felhőalapú szolgáltatókat a táblázat mutatja be: 

Felhőszolgáltató
A szolgáltatás típusa
Termék/szolgáltatás

Alibaba
Natív felhőszolgáltatás
Alibaba Cloud Container Service, Alibaba Cloud Container Service a Kubernetes számára

Amazon Web Services (AWS)
Natív felhőszolgáltatás
Amazon Elastic Container Services (ECS), Amazon ECS for Kubernetes (EKS), AWS Fargate

Óriás Raj
MSP
Giant Swarm által kezelt Kubernetes infrastruktúra

Google
Natív felhőszolgáltatás
Google Container Engine (GKE)

IBM
Natív felhőszolgáltatás
IBM Cloud Kubernetes szolgáltatás

microsoft
Natív felhőszolgáltatás
Azure Kubernetes Service, Azure Service Fabric

Jóslat
Natív felhőszolgáltatás
OCI Container Engine Kuberneteshez

Platform9
MSP
Kezelt Kubernetes

Red Hat
Hosted Service
OpenShift dedikált és online

VMware
Hosted Service
Cloud PKS (béta)

Mail.ru Cloud Solutions*
Natív felhőszolgáltatás
Mail.ru Felhőtárolók

* Nem titkoljuk, a fordítás során hozzáadtuk magunkat :)

A nyilvános felhőszolgáltatók is új képességekkel bővítik, és helyszíni termékeket adnak ki. A közeljövőben a felhőszolgáltatók hibrid felhők és többfelhős környezetek támogatását fejlesztik ki. 

Gartner ajánlások:

1. Objektíven értékelje szervezete képességét a megfelelő eszközök üzembe helyezésére és kezelésére, és fontolja meg az alternatív felhőtároló-kezelési szolgáltatásokat.
2. Gondosan válasszon szoftvert, és ahol lehetséges, használjon nyílt forráskódot.
3. Válasszon olyan szolgáltatókat, amelyek közös működési modellekkel rendelkeznek hibrid környezetekben, amelyek az egyesített fürtök egyetlen ablaktábláját kínálják, valamint olyan szolgáltatókat, amelyek megkönnyítik az IaaS önálló üzemeltetését.

Néhány tipp a Kubernetes aaS szolgáltató kiválasztásához a Replex blogból:

1. Érdemes olyan disztribúciókat keresni, amelyek már a dobozból is támogatják a magas rendelkezésre állást. Ez magában foglalja a több fő architektúra támogatását, a magasan elérhető etcd összetevőket, valamint a biztonsági mentést és a helyreállítást.
2. A Kubernetes-környezetek mobilitása érdekében a legjobb olyan felhőszolgáltatókat választani, amelyek a helyszíni rendszerektől a hibrideken át a többfelhőig terjedő telepítési modellek széles skáláját támogatják. 
3. A szolgáltatói ajánlatokat a könnyű beállítás, telepítés és fürtlétrehozás, valamint a frissítések, figyelés és hibaelhárítás alapján is értékelni kell. Az alapvető követelmény a teljesen automatizált fürtfrissítések támogatása nulla állásidővel. A választott megoldásnak lehetővé kell tennie a frissítések manuális futtatását is. 
4. Az identitás- és hozzáférés-kezelés biztonsági és irányítási szempontból egyaránt fontos. Győződjön meg arról, hogy a választott Kubernetes-terjesztés támogatja a belsőleg használt hitelesítési és engedélyezési eszközökkel való integrációt. Az RBAC és a finomszemcsés hozzáférés-vezérlés szintén fontos szolgáltatáskészlet.
5. A választott disztribúciónak vagy natív szoftver által definiált hálózati megoldással kell rendelkeznie, amely lefedi a különféle alkalmazások vagy infrastruktúra követelményeinek széles körét, vagy támogatnia kell a népszerű CNI-alapú hálózati megvalósítások egyikét, beleértve a Flannelt, a Calico-t, a kube-routert vagy az OVN-t.

A konténerek gyártásba való bevezetése válik a fő irányvonalgá, amint azt egy XNUMX. évben végzett felmérés eredményei is bizonyítják Gartner ülések az infrastruktúráról, a műveletekről és a felhőstratégiákról (IOCS) 2018 decemberében:

Mint látható, a válaszadók 27%-a már használ konténereket a munkája során, és 63%-uk tervezi.

В Portworx és Aqua Security felmérés A válaszadók 24%-a számolt be arról, hogy évente több mint félmillió dollárt fektet be konténertechnológiákba, a válaszadók 17%-a pedig évente több mint egymillió dollárt költött rájuk. 

A cikket a felhőplatform csapata készítette Mail.ru Cloud Solutions.

Mit kell még olvasni a témában:

1. DevOps legjobb gyakorlatai: DORA jelentés.
2. Kubernetes a kalózkodás jegyében egy sablonnal a megvalósításhoz.
3. 25 Hasznos eszközök a Kubernetes üzembe helyezéséhez és elfogadásához.

Forrás: will.com